FAT
FAT(File Allocation Table) :
- Microsoft에서 개발되었으며, 과거에 주로 사용하던 파일시스템.
- 파일 시스템은 이름 그대로 파일의 할당 정보를 표현한 테이블이다.
- FAT는 구조가 간단하여 용량이 적은 USB 등에서 주로 쓰인다.
- FAT는 FAT12, 16, 32 exFAT를 구분할 수 있다.
-> FAT 뒤의 숫자는 비트 수로 최대 클러스터의 수를 의미한다.
exFAT(Extended File Allocation Table) :
FAT64로도 불리며 윈도우 비스타, 7, 2008이상의 운영체제에서 호환하기 위해 만들어진 파일시스템이다.
| FAT 형식 | 최대 표현 가능한 클러스터 수 |
| FAT12 | 4,084(2^12 - 12) |
| FAT16 | 65,524(2^16 - 12) |
| FAT32 | 268,435,444(2^28 -12) |
- FAT32에서 보면 28비트만 사용하는걸 볼 수 있는데 이는 4비트가 사전에 예약되어 다른 용도로 사용하고 있기 때문이다.
- FAT는 MBR 구조의 비트 수 제한으로 최대 2TB까지 지원하고, 파일의 최대 저장 가능한 용량은 4GB
FAT32 구조
Boot Record :
이 영역은 "Reserved area"의 첫 번째 섹터를 의미. 볼륨 인식을 위해 이 영역을 참조한다.
Reserved area :
이 영역은 예약되어 있는 영역. FAT32는 이 영역에 일부 정보를 저장
FAT #1, #2 (FAT #1값 = FAT #2값) :
FAT 영역은 클러스터 관리 테이블이있는 영역.
-> 이 영역을 통해 특정 파일에 연결된 클러스터를 파악할 수 있다.
이 영역이 손상되면 해당 파일을 파악할 수 없게 되어 사용할 수 없게 된다.
FAT #1의 복사(백업)된 내용은 FAT #2로 손상되지 않은 FAT32파일시스템
Root directory :
- 계층 구조의 최상위 디렉토리.
- 이 영역은 파일 수 제한 등 몇 가지 단점을 극복하고자 위치가 정해져 있지 않다.
- Boot Record에 손상이 있을 경우 Root directory를 찾기 어려운 문제가 있기 때문에
일반적으로 FAT #2영역 바로 뒤에 위치해 있다.
Data area :
모든 파일, 디렉토리의 내용이 이곳에 저장. 이 영역은 클러스터 단위로 읽기/쓰기가 이루어진다.
참고 문헌 :
'Window Forensic' 카테고리의 다른 글
| [File System] FAT (6) " Directory Entry" (0) | 2025.03.15 |
|---|---|
| [File System] FAT (4) "Data Area" (0) | 2025.03.15 |
| [File System] FAT (5) "Data Area" (0) | 2025.03.15 |
| [File System] FAT (3) "Reserved Area" (0) | 2025.03.15 |
| [File System] FAT (2) "Boot Record" (0) | 2025.03.15 |